Identificando servidores DNS Open
Resolvers en IPv6
Dario Gomez dario at lacnic dot netAlejandro Acosta alejandro at lacnic dot net
¿De que se trata esto?
Simple: Como ustedes se imaginan, identificar servidores recursivos en IPv4 es MUY fácil. En IPv6 tuvimos que buscar otra manera
2
¿Por qué lo hicimos?Los servidores recursivos son generalmente negativos:
● Permiten que usuarios externos utilicen sus recursos
● Son susceptibles a ataques de envenenamiento de Cache
● Incrementan los ataques de DDOS & amplificación
Source: http://dns.measurement-factory.com/surveys/openresolvers.html3
Ok.., hemos hablado demasiado!. Qué fue lo que se hizo ! (1/5)
4
Ok.., hemos hablado demasiado!. Qué fue lo que se hizo ! (2/5)
tcpdumping at the reverse DNS “D” server administered by Lacnic
5
Ok.., hemos hablado demasiado!. Qué fue lo que se hizo ! (3/5)
After the pcap file is gathered then we move it to another server, process it to be sure it is ok, and few more things
d.ip6-servers.arpa
6
Ok.., hemos hablado demasiado!. Qué fue lo que se hizo ! (4/5)
Here comes the real processingof the file resulting after previous steps. We identify if the IP is Open or not, type of error gotten (is case of), Owner ID, RIR belonging
d.ip6-servers.arpa
7
Ok.., hemos hablado demasiado!. Qué fue lo que se hizo ! (5/5)
Fase en proceso de entonación
d.ip6-servers.arpa
8
Que resultados esperamos (y publicaremos).- # de Servidores DNS identificados.- % de Servidores DNS identificados x RIR.- % de Servidores abiertos DNS identificados .- % de Servidores abiertos DNS identificados x RIR.- Algunos miscelaneos
9
Algunos resultados
Open IPv6 DNS Servers
Closed IPv6 DNS servers
10
Graáficos (1 de 2)
11
Graphs (2 de 2)
12
Más gráficos:
13
Miscellaneous findingNumber of resolvers per /64: In 2001:XXXX:XXXX:2/64 62 addresses
In 2a02:XXXX:0:XXXX/64 38 addresses
In 2a02:XXXX:0:XXXX/64 38 addresses
In 2001:XXXX:52:XXXX/64 34 addresses
In 2a02:XXXX:0:XXXX/64 32 addresses
14
What we were looking for
15
Vista “cruda” de los datos.., fase 2
30-09-2018|NO|2001:xxxx:yyyy::53| recursion Timed out while resolving with |****|arin|CA30-09-2018|NO|2001:xxxx:yyyy::26| recursion Timed out while resolving with |****|arin|CA30-09-2018|NO|2001:xxxx:yyyy::21| recursion Timed out while resolving with |****|arin|CA30-09-2018|NO|2001:xxxx:yyyy:16c4| recursion Looks like query refused when resolving with |****|arin|US30-09-2018|NO|2001:xxxx:yyyy:16c5| recursion Looks like query refused when resolving with |****|arin|US
16
Email Template (*nuevo*)Este email es recibido por miembros de LACNIC cada vez que conseguimos un nuevo servidor DNS IPv6 abierto
17
What we were looking for (good news)
We do have evidence of ISPs that have fixed their servers !!
36 servers have being fixed so far
18
Just released: JSON(nuevo!)
https://stats.labs.lacnic.net/IPv6/opendata/v6-open-resolver-opendata.json19
Nuevo: Web portal
https://warp.lacnic.net/dns-open-resolvers-con-ipv620
Nuevo: Web portal
Algunos números interesantes del servicio
300 visitas únicas1000 consultas únicas
21
Servicio publicado en Febrero del 2019
Nuevo: Integración con MiLACNIC
https://milacnic.lacnic.net 22
Próximos pasos
1.- Integración con MiLACNIC (listo!)2.- Identificar Servidores DNS Squats
23
Questions / Comments
24